k
С AccountIsClosable та же самая реакция, если что
Size: a a a
2020 June 17
k
Там в скобках не домен, а что-то больше похоже на имя класса, типа {http://Com.blabla.WA.Context}
I
в любом случае, оно подсказывает что ждет, а что не ждет
I
соответственно надо постараться сформировать валидную хмльку
BF
Слушай, а если убрать ххе-пейлоад из файла, он также в 400 bad request уйдёт? @killinem_sec
k
соответственно надо постараться сформировать валидную хмльку
{http://Com.blabla.WA.Context} - такую херь он в структуре рут-элемента не принимает, ругается на символы, кодировать в URL или HTML не помогает, без корневого элемента - не помогает
VS
пробуй поиграть в encoding самой xml
VS
видел примеры когда прокатывало
k
Слушай, а если убрать ххе-пейлоад из файла, он также в 400 bad request уйдёт? @killinem_sec
Просто с пустым телом - пустой 400, если оставить только объявление DTD с malicious entity - unexpected end of prolog
BF
Просто с пустым телом - пустой 400, если оставить только объявление DTD с malicious entity - unexpected end of prolog
О, ну тогда ты определённо на верном пути. Блин, слушай, может ты просто загуглишь ошибку эту? Наверняка кто-то её ещё испытывал и знает как с этой херью быть
BF
Обидно будет если ты выкрутишь там так что оно пройдёт, а потом окажется, что там ХХЕ в принципе парсер не позволяет завернуть... дохуя работы уже сделано, никогда реально не знаешь, что можно эксплуатировать, а что нет :/
k
Да че то ненагуглилось ничего. Я б не писал сюда раньше, чем погуглил.
BF
О_о
k
Нашел только где пусто было между фигурными скобками
k
А тут херота какая-то
k
Типа вот так было у кого то
k
Expected elements are <{}group>
k
И тогда пихаешь в корень <group>
BF
Бля, как жи так, сайт ниламаеца потому што он через жопу сделан, на hackthebox такого не было((9((9
BF
Погоди минуту, а ты можешь туда пустой json отправить? Не хмл, а жсон именно